Virus 版 (精华区)

发信人: mylife (高山流水), 信区: Virus
标  题: “爱虫”病毒变种——VBS_Loveletter.f 
发信站: 哈工大紫丁香 (2001年03月19日14:39:47 星期一), 站内信件


    这又是“爱虫”（VBS_Loveletter.a）病毒的变种，它通过Email进行传播，邮件格
式如下：
邮件主题： "Dangerous Virus Warning"
消息主体： "There is a dangerous virus circulating. Please click attached pi
cture to view it and learn to avoid it."
附件： "virus_warning.jpg.vbs"
    如果用户运行了附件，那么蠕虫将使用Windows Scripting Host程序，对于WIN95/
NT系统
该程序只有在安装了IE5以上版本之后才存在。
    当蠕虫第一次运行，它将会在下列位置把自身副本复制并写入一个.HTM文件：
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\SYSTEM\VIRUS_WARNING.JPG.VBS
WINDOWS\SYSTEM\URGENT_VIRUS_WARNING.HTM
蠕虫还会添加下列注册键：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32DLL=WINDOWS\Win32DLL.vbs
为的是在系统启动时就运行该蠕虫。
    该蠕虫将搜索所有与该机器连接的驱动器并用自身代码替换下列文件：
*.JPG
*.JPEG
然后在原文件名的后面添加.VBS。
蠕虫同样用自身代码覆盖下列文件并添加.VBS扩展名：
*.CSS
*.DOC
*.GIF
*.HTA
*.HTM
*.HTML
*.JS
*.JSE
*.SCT
*.TXT
*.VBE
*.VBS
*.WAV
*.WSH
*.XLS
蠕虫还要搜索下列类型的文件：
*.MP3
*.MP2
一旦找到，将把这些文件变为隐含，并以原来的文件名保存蠕虫代码，只不过增加了.V
BS扩展名。
    蠕虫创建名为Urgent_virus_warning.htm的文件并修改SCRIPT.INI文件企图发送创
建的文件，
但由于印刷原因这封邮件不会被发送。
    该.HTM页面的标题为Dangerous Virus Warning，内容也是可疑的：
To view the picture please follow the instructions
Select [YES] for your viewing pleasure
    如果选择了YES选项将运行一个JAVA script程序该程序中隐藏着病毒代码。
    在一个很很短的延时之后，蠕虫将向地址簿中的所有地址发送自身的副本，邮件的
格式与原来
邮件格式相同。
    蠕虫将修改IE的启示页，为了从Tucows.com站点下载一个程序E-Mail Remover，其
文件名为
SETUP24.EXE。这只是一个程序而非木马。

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]